Attacchi cyber in aumento, la sicurezza pervasiva come linea di difesa per preservare la continuità operativa. La protezione dei dati e l’integrazione della cybersecurity in tutti i processi rappresentano il tessuto connettivo dell’operatività, terze parti comprese
In un mondo interconnesso e interdipendente in cui minacce cyber sempre più sofisticate mettono a rischio la stabilità del settore finanziario e le attività delle istituzioni bancarie, la sicurezza pervasiva emerge come un baluardo. L’integrazione della sicurezza in tutti i processi e la centralità della protezione dei dati sono il fondamento di una strategia che si pone l’obiettivo di garantire la resilienza e la continuità in un panorama sempre più complesso. Il settore finanziario, che rappresenta una fondamentale infrastruttura critica sistemica europea, si trova ad affrontare crescenti esigenze di protezione dei propri asset strategici di fronte al notevole aumento degli attacchi cyber. La transizione digitale nella finanza è, d’altronde, irreversibile e coinvolge tutte le fasi della gestione finanziaria: raccolta, credito, impieghi, incassi e pagamenti. L’innovazione digitale ha consentito, infatti, di ridurre i costi di ingresso sul mercato in segmenti specifici dell’offerta dai mutui al factoring, passando per i prestiti personali, nonché di sviluppare forme di finanziamento disintermediate, come quelle del crowdfunding. Le tecnologie digitali ridefiniscono anche l’organizzazione, con un crescente ricorso all’esternalizzazione di fasi rilevanti dei processi produttivi. Tutto ciò rende essenziale ragionare in ottica di sicurezza e resilienza tramite strategie mirate per ognuno dei tre fattori critici: persone, tecnologie, fornitori e terze parti. Ne consegue una configurazione nuova dei rischi operativi, più articolata e più complessa.
È necessario, quindi, prendere decisioni tempestive riguardo alle policy, ai processi ed alle risorse, come è emerso dalla due giorni romana di Cybertech Europe 2023, mettendo in atto azioni che coinvolgono gli ambiti manageriali, organizzativi e tecnici dell’azienda attraverso la definizione di una strategia di gestione del rischio residuo, e abilitando l’adozione di un approccio integrato di prevenzione e di protezione dell’impresa. Bisogna poi innalzare il processo di sicurezza sin dalle fasi iniziali di sviluppo dei prodotti e servizi, realizzando la cosiddetta “security by design”, e adottare modelli e metodologie globali e integrati, in grado di garantire la costante collaborazione con gli altri attori di mercato, con le istituzioni finanziarie e di sicurezza nazionali europee. Sempre di più, infatti, si assottigliano le divisioni tra mondo reale e mondo digitale. In questo quadro, si stanno evolvendo nuove metodologie, professionalità e strumenti. Quello che non cambia, ma si rafforza, è la centralità, anche a livello di governance, della protezione dei dati e dell’integrazione della sicurezza in tutti i processi. Il presidio e la difesa del patrimonio della banca – umano, informativo, economico – nonché la tutela della continuità operativa, richiedono aggiornamenti continui, investimenti, innovazione, per rispondere prontamente alle nuove minacce. Lo scenario delineato configura, infatti, la sicurezza come un’attività sempre più trasversale, che coinvolge strutture e personale differenti. Anche la pervasività della tecnologia suggerisce un approccio integrato, secondo una gestione per processi in grado di coinvolgere in maniera trasversale tutte le strutture: sicurezza logica, business continuity, sicurezza fisica, business intelligence e cyber, cioè la sicurezza pervasiva.
PROSPETTIVE E TREND
La minaccia cyber, per la sua natura diffusa, incontrollata e transnazionale, rappresenta una sfida sempre più impegnativa. I cyber attack sono in grado di produrre effetti potenzialmente devastanti nel settore finanziario, con costi significativi e impatti diretti sulla libertà economica e sul funzionamento stesso del sistema. La distruzione anche parziale dell’infrastruttura finanziaria ha un notevole impatto strategico, umano, economico e sociale: basti pensare alle reti di interscambio e ai sistemi di pagamento che includono conseguenze intersettoriali e transfrontaliere, con effetto “domino” dovuto alle interdipendenze. Le minacce odierne di cyber espionage, terrorismo e crimine informatico rappresentano la sfida più importante, come hanno dimostrato alcuni eventi recenti. A causa della interconnessione diffusa, gli attacchi possono essere perpetrati anche attraverso la supply chain: le banche collegate e i fornitori di prodotti e servizi. La banca stessa può diventare un canale di propagazione. A differenza delle interruzioni operative fisiche, il rischio cibernetico in una realtà estesa e interconnessa non è necessariamente correlato al suo grado di rilevanza: un partecipante di valore insignificante o un fornitore di servizi secondari può essere altrettanto rischioso di un grande partner. Vi è poi il rischio della minaccia interna da parte di dipendenti infedeli o negligenti, che apre un’altra strada per possibili compromissioni.
Secondo l’ultimo Rapporto CLUSIT, la crescita di tutti questi possibili rischi, insieme all’incremento del livello di impatto dei singoli incidenti, è aumentata in modo esponenziale, portando le autorità competenti a elevare, già dall’anno scorso, il livello di rischio sistemico da “critico” a “alto”. Secondo IDC, proprio quando il settore bancario aveva iniziato a gestire le interruzioni dovute alla pandemia, accelerando i processi di innovazione, i conflitti geopolitici e le sfide economiche hanno spinto le banche di tutto il mondo a riflettere e a riconsiderare le proprie priorità di investimento nelle tecnologie. Le aziende della finanza sono molto concentrate sul miglioramento dell’efficienza per gestire i rischi e di conseguenza al modo in cui utilizzano le tecnologie di analisi per prendere decisioni. Molte banche utilizzano sempre di più architetture digitali, incluso il cloud, per favorire l’automazione e migliorare i risultati. L’evoluzione verso il business digitale consente, infatti, una maggiore resilienza e un’innovazione più rapida per i prodotti e servizi e, in definitiva, amplia la partecipazione all’ecosistema. Gli attacchi e l’attivismo della criminalità finanziaria, tuttavia, richiedono metodi migliori e più rapidi di valutazione dei rischi. Stando ai dati di una recente survey di IDC, il 64% delle banche conferma che il rilevamento delle minacce è un fattore sempre più importante per la resilienza. IDC prevede che il ransomware e altri tipi di attacco non solo rimarranno una minaccia seria, ma aumenteranno del 20% fino a tutto il 2024, principalmente a causa degli attacchi di phishing e di password deboli da parte degli utenti finali. Il ransomware è un problema enorme e frustrante per i leader aziendali.
I gruppi criminali stanno sempre più affinando le loro strategie, principalmente attraverso l’uso di e-mail di phishing sempre più sofisticate. Sebbene le forze dell’ordine possano svolgere un ruolo fondamentale nella fase investigativa, le misure preventive restano la chiave principale per ridurre il rischio. Secondo IDC, la funzione di cybersecurity dovrebbe guadagnare maggiore rilevanza come componente cruciale nella gestione del rischio aziendale. Dovrebbe essere interfunzionale e integrata con tutte le altre strategie di mitigazione dei rischi. Mentre la prevenzione è fondamentale per la protezione delle reti, dei sistemi informatici e dei loro componenti da attacchi o accessi non autorizzati, il fulcro rimane la sicurezza delle informazioni, con l’obiettivo di garantire la protezione dei dati aziendali.
ALLARME SICUREZZA
Le prospettive di IDC sono confermate, a livello locale, anche dai recenti dati che Assintel ha presentato in occasione di Milano Digital Week. In Italia, nel secondo trimestre del 2023 gli attacchi cyber sono aumentati del +34,6% rispetto ai primi tre mesi, con circa 190mila dispostivi compromessi. L’80% delle vittime colpite sono PMI e il 91% sono aziende con fatturato inferiore ai 250 milioni di euro. A livello globale, vediamo un aumento del +62% comparato al trimestre precedente. Anche secondo l’Osservatorio Cyber di CRIF nei primi sei mesi del 2023, le attività criminali degli hacker hanno registrato un notevole aumento globale. Gli alert inviati sono stati oltre 950mila. E sul dark web, sono aumentati del +17,9% rispetto al secondo semestre del 2022. «Se fino a pochi anni fa, eseguire operazioni bancarie su Internet era un’azione modernissima, oggi è la normalità, anzi rivolgersi allo sportello è diventato piuttosto inusuale» – sottolinea Vittorio Bitteleri, country manager Italia di Cyber Guru. «Questo non vale solo per i semplici movimenti di conto corrente, ma anche per operazioni più complesse come investimenti, trading e varie forme di transazione». La comodità del digitale, che consente una gestione del patrimonio facile e veloce, è fuori discussione. «Ma dobbiamo essere consapevoli – prosegue Bitteleri – di quanto tutto ciò abbia amplificato la vulnerabilità dell’intero sistema, mettendo a rischio costante i nostri dati più sensibili». Secondo alcune ricerche, il costo annuale delle violazioni dei dati nel settore finanziario è compreso, nella sola Ue, tra i 2 e i 27 miliardi di euro.
Anche i dati della Polizia di Stato evidenziano che solo per il trading nel 2022 c’è stato un raddoppio delle truffe rispetto al 2021 per un valore di oltre 90 milioni di euro. «Numeri da capogiro, che però non devono impressionarci – conclude Bitteleri – perché la soluzione c’è e si chiama cybersecurity awareness. Sappiamo che quando si parla di truffe informatiche l’anello più debole della catena è il fattore umano. Per questo essere aggiornati e non lasciarsi mai cogliere impreparati è l’unica strada verso la sicurezza». Una meta raggiungibile a patto che si persegua una formazione di qualità, personalizzata e continuativa. La cybersecurity awareness rappresenta una necessità sia per coloro che movimentano online il proprio denaro sia per gli operatori. Anche gli ultimi dati rilasciati dai laboratori di ricerca Netskope rivelano una crescente minaccia di malware nell’industria dei servizi finanziari. «I dati raccolti in un anno di monitoraggio autorizzato su un sottoinsieme di più di 2.500 clienti dell’azienda – spiega il country manager Alberto Filisetti – dimostrano un incremento dell’adozione di applicazioni cloud nel settore dei servizi finanziari e un uso preoccupante di tali canali per attacchi di malware e ransomware». Secondo la ricerca Threat Labs Report – Financial Services 2023 di Netskope, l’utente medio del settore interagisce con 25 diverse applicazioni al mese. Microsoft OneDrive è l’applicazione più popolare con un ampio margine, utilizzata dal 54% degli utenti in un qualsiasi giorno. Il 63% dei download di malware proviene da applicazioni cloud, con OneDrive in testa. Sempre dal report di Netskope, emerge che gli attacchi contro le organizzazioni dei servizi finanziari mirano principalmente agli utenti, con trojan che inducono a scaricare altri payload malware.
«Gli istituti finanziari – rileva Filisetti – devono supportare l’infrastruttura IT in ampie aree geografiche e diverse linee di business, e gestire sia le app legacy che quelle moderne negli ambienti on-premise e cloud». Per proteggere le realtà complesse è fondamentale comprendere cosa stanno facendo gli utenti, i dispositivi che utilizzano e soprattutto quale tipologia di dati stanno scambiando. «Tutte informazioni che la nostra offerta è in grado di raccogliere e mettere a disposizione – conclude Filisetti – garantendo un livello di granularità estremamente elevato». Questo è possibile attraverso la piattaforma Netskope Intelligent Security Service Edge (SSE) che si compone di funzionalità che vanno da Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG), e Private Access for ZTNA.
SECURITY CHAIN
La cybersecurity finanziaria è soggetta a continui cambiamenti. Diversi fattori contribuiscono a questa dinamica evolutiva. I principali fattori sono quattro – come spiega Alberto Zampieri, sales engineer di Zscaler. «In primo luogo, l’incessante avanzamento delle tecnologie introduce nuove sfide che richiedono un costante adattamento da parte degli operatori finanziari. Inoltre, l’ampia adozione del cloud, sebbene offra molteplici vantaggi, pone una particolare attenzione sulla necessità di proteggere i dati sensibili in questo ambiente virtuale. Altro aspetto rilevante è rappresentato dai regolamenti e dalle normative europee che stabiliscono standard sempre più rigorosi in materia di sicurezza finanziaria. Un ulteriore elemento da considerare è che molte istituzioni finanziarie delegano parte della loro operatività a terze parti, il che comporta un allargamento della catena di sicurezza. In questo contesto, è di vitale importanza estendere le misure di protezione anche ai partner del sistema finanziario per evitare che eventuali vulnerabilità possano essere sfruttate da agenti malevoli».
Zscaler offre soluzioni di sicurezza avanzate particolarmente rilevanti, come la piattaforma di cloud security, che permette alle aziende di instradare tutto il traffico Internet attraverso la propria rete di 150 datacenter, garantendone una protezione avanzata contro ransomware, phishing e attacchi zero-day; e la soluzione Zero Trust Network Access (ZTNA) che richiede una verifica rigorosa dell’identità prima di consentire l’accesso alle risorse aziendali. «Le banche hanno una presenza diffusa con numerose filiali e dipendenti mobili. Zscaler – conclude Zampieri – consente di estendere a loro le stesse politiche di sicurezza, garantendo una protezione uniforme ovunque». L’azienda offre inoltre strumenti avanzati di reportistica per monitorare il traffico di rete, identificare comportamenti sospetti e dimostrare la conformità alle normative. Nell’era digitale in cui siamo immersi, le transazioni online sono diventate un elemento integrante della nostra vita quotidiana. Questa crescente familiarità con i metodi digitali ha aperto le porte a un mondo di convenienza e accessibilità mai sperimentato prima.
«Le persone si sono abituate ad effettuare transazioni online e difficilmente torneranno ai metodi tradizionali. La rapida crescita dell’e-commerce e dell’online banking non è passata inosservata ai criminali informatici» – spiega Richard de la Torre, technical product marketing manager, enterprise solutions di Bitdefender. «Senza entrare nei dettagli di ogni singolo requisito normativo, è importante che le aziende del settore bancario e finanziario italiano stabiliscano una solida sicurezza informatica». Le priorità sono diverse: «Protezione dei dati e della privacy, monitoraggio continuo, informazione dettagliata sulle minacce, la cosiddetta threat intelligence, formazione di sensibilizzazione alla sicurezza informatica del personale, revisioni e valutazioni su base regolare e test di penetrazione». Considerato l’elevato valore e la sensibilità dei dati finanziari e il crescente livello di complessità delle minacce, è necessaria una strategia di difesa in profondità che copra i tre pilastri della sicurezza informatica: prevenzione, protezione, rilevamento e risposta. «Come Bitdefender ha riportato all’inizio di quest’anno – conclude de la Torre – la criminalità informatica sta prendendo di mira le vulnerabilità del software. Il recente gruppo di hacker CL0p ha intensificato gli attacchi ransomware, sfruttando la vulnerabilità CVE-2023-34362 del software MOVEit. Questa violazione ha permesso di accedere senza autorizzazione a dati sensibili, causando danni significativi».
NORME E STANDARD
«Il mondo finanziario, essendo uno dei settori più esposti agli impatti provocati dagli attacchi informatici, rappresenta il punto di riferimento per l’adozione di strategie di contrasto a tali minacce sia all’interno del proprio ambito che come modello per altri settori» – afferma Giancarlo Butti, membro del comitato scientifico di CLUSIT. Questo grazie alla presenza di numerose normative che regolamentano, anche in forma molto dettagliata, le misure tecniche e organizzative necessarie a garantire l’alto livello di sicurezza richiesto. «Già nel 2016 – continua Butti – il G7 aveva pubblicato il documento The G7 Fundamental Elements of Cybersecurity for the Financial Sector e molti altri enti di vigilanza o di indirizzo ne avevano seguito l’esempio, tanto che nel nell’ottobre del 2017 il Financial Stability Board ha presentato il Summary Report on Financial Sector Cybersecurity Regulations, Guidance and Supervisory Practices che raccoglie e analizza le varie normative disponibili a livello globale». Tali norme non si limitano ad affermazioni di principi astratti, ma entrano nel vivo dei temi trattati, con prescrizioni molto tecniche e molto più dettagliate anche per gli standard di riferimento. «In ambito europeo, negli ultimi mesi – osserva Butti – sono state emesse normative di particolare importanza.
La più interessante e innovativa è il regolamento DORA (Digital Operational Resilience Act – Regolamento 2022/2554), che sarà pienamente vincolante dal 17 gennaio 2025». Il regolamento DORA si rivolge a organizzazioni del mondo finanziario, assicurativo e ai relativi fornitori, armonizzando i contenuti di normative esistenti e introducendo anche concetti nuovi. «Per la prima volta – sottolinea Butti – si concentra l’attenzione sul controllo diretto dei fornitori rilevanti da parte di un’autorità di vigilanza centrale, contribuendo in tal modo a gestire uno degli aspetti più critici della cybersecurity, quello della sicurezza della supply chain». Fra i fornitori rilevanti, rientrano per esempio i service provider più importanti. E questo si traduce in un beneficio enorme non solo per gli enti soggetti a DORA, che in questo modo non avranno più il problema di dover verificare direttamente, con proprie attività ispettive, il livello di sicurezza o di conformità, ma potranno contare sul fatto che tale attività sarà svolta da enti ufficiali. «Attualmente è molto difficile, se non impossibile per un’azienda, condurre delle verifiche sui fornitori, in particolare se i servizi sono erogati in cloud» – commenta Butti. Considerando la tipologia dei fornitori rilevanti, ne beneficeranno anche tutti gli altri clienti, indipendentemente dall’essere soggetti o meno alle prescrizioni di DORA, consentendo una più facile gestione dei rischi legati alla supply chain. La normativa in questione riveste un ruolo fondamentale nell’ambito della sicurezza informatica e della stabilità del settore finanziario, concentrandosi su cinque aspetti cruciali: la gestione del rischio legato ai sistemi informativi; la segnalazione degli incidenti ad essi connessi; la conduzione di test di resilienza operativa digitale; la gestione dei rischi relativi derivanti da terzi; la condivisione delle informazioni legata non solo agli incidenti, ma anche alle minacce ed alle vulnerabilità, sia verso gli organismi di vigilanza che altre entità finanziarie.
«Grazie a DORA, il mondo finanziario dimostra ancora una volta di essere all’avanguardia nella cybersecurity. Questa normativa di alto livello è stata progettata in modo snello, il che la rende facilmente applicabile sia con il progresso delle tecnologie sia in aziende di varie dimensioni e con caratteristiche molto diverse tra loro. È importante notare che i documenti tecnici allegati a DORA, sebbene ancora in fase di emissione, costituiranno un punto di riferimento aggiornato per qualsiasi settore». Il regolamento DORA si inserisce a sua volta nel quadro europeo per la cybersecurity (EUCS) e probabilmente diventerà obbligatorio per tutti i settori europei altamente critici, anche in relazione alla direttiva NIS2 a partire dal 2024. Nel contesto normativo europeo, occorre poi citare il Regolamento GDPR per il trattamento e protezione dei dati. Tra le principali novità spicca, infine, la PSD3, in coso di approvazione, che si basa sulla precedente PSD2 del 2015, e mira a rafforzare la regolamentazione degli istituti di pagamento che operano come prestatori di servizi di pagamento vigilati. La European Banking Authority ha indicato la necessità di dotarsi anche di tecnologie per il Transaction monitoring, basate sul principio di analisi comportamentale dell’utente e della sua interazione storica con i sistemi.
Alla luce del complesso corpus normativo europeo vi è, quindi, l’esigenza di un coordinamento stretto a livello continentale che, per quanto riguarda l’Italia, è individuato nella Agenzia per la Cybersicurezza Nazionale che è stata designata quale Centro Nazionale di Coordinamento (NCC) nell’ambito dello European Cybersecurity Competence Centre (ECCC). Sul fronte della compliance, come sottolinea Massimo Longatti, personal solutions & FM senior manager di CRIF, le normative citate, impongono agli istituti finanziari di adottare rigorose misure di protezione e di notificare le violazioni dei dati. «DORA prevede l’adozione di una serie di criteri che impatteranno sul mercato finanziario. In mondo particolare, diventa importante nell’ambito della supply chain di un istituto finanziario capire che tipo di postura ha un’azienda nei confronti della sicurezza, per definire eventuali rischi di terze parti connesse con l’attività. Le priorità per il settore finanziario – continua Longatti – riguardano la prevenzione e gestione delle minacce e la piena conformità alle novità normative». Diventa rilevante implementare soluzioni avanzate di rilevamento dei rischi e di risposta agli incidenti per identificare e mitigare rapidamente le minacce. «Fondamentale – conclude Longatti – anche per le PMI potersi accreditarsi come controparti solide: è possibile farlo grazie a sistemi che definiscono il grado di esposizione nei confronti del rischio cyber».
CONCLUSIONI
Nel corso dei prossimi anni, gli operatori della finanza saranno interessati da una forte recrudescenza di attacchi cyber e si presenteranno sulla scena nuovi e agguerriti gruppi criminali. È quindi probabile che aumentino gli attacchi alle infrastrutture e che i criminali utilizzino sempre di più le tecnologie più innovative per rendere più efficienti i loro attacchi. L’attivazione del circolo virtuoso “più sicurezza uguale più qualità dell’offerta e maggiore fiducia della clientela” è, quindi, sempre più importante nell’attività finanziaria, che sul trattamento delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti fonda, da sempre, la propria operatività. La banca si sta trasformando per coprire il rischio cyber ed è in atto un mutamento radicale: la realizzazione del modello della “pervasive security”. Tale approccio richiede però di concentrare la responsabilità in un unico punto di raccordo e di gestione, al più alto livello, di adottare la metodologia del risk management e di gestire il fenomeno con i necessari raccordi con il sistema di sicurezza nazionale ed europeo. Come hanno evidenziato il ministro della difesa Guido Crosetto e Roberto Cingolani CEO di Leonardo in occasione dell’apertura di Cybertech Europe 2023: Con il cyberspace siamo in un contesto in cui i nostri sensi non percepiscono né misurano il pericolo, quindi, occorre usare il cervello, tenendo conto che la sicurezza totale non esiste, e perseguire solo quella accettabile. Bisogna scegliere il meglio senza rifugiarsi nella burocrazia.
S3K tra cyber security e finanza
